【防护方案】Apache Struts2远程代码执行漏洞
综述
北京时间2018年8月22日,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(CVE-2018-11776、CNVD-2018-15894、CNNVD-201808-740)。该漏洞在两种情况下存在:
第一,当xml配置中未设置namespace 值,且上层动作配置(action(s) configurations)中未设置或使用通配符namespace值时,可能导致远程代码执行漏洞的发生。
第二,使用未设置 value和action值的url标签,且上层动作配置中未设置或使用通配符namespace值,同样可能导致远程代码执行。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-057
受影响版本
Struts 2.3 - 2.3.34
Struts 2.5 - 2.5.16
不受影响版本
Struts 2.3.35
Struts 2.5.17
技术防护方案
版本检测
1、通过配置文件检测
此漏洞产生于低版本的Struts组件,当应用系统引入相关组件时,将存在被攻击者远程攻击的风险。建议由应用开发人员排查引入组件的版本是否处于受影响范围之内。查看Maven配置文件pom.xml中关于组件的版本。如:
若红字所示版本在受影响范围内,则请用户尽快升级Struts2至最新版本,以保证长期有效的防护。
2、通过组件名检测
Linux系统下可使用以下命令查找当前使用的struts2-core包,通过查看其文件名,判断当前版本。
若红框处版本号在受影响范围内,则请用户尽快升级至最新版本。
02
官方修复方案
官方已在最新版本中修复了此漏洞,请用户尽快将Struts升级至官方修复版本,2.3.*的用户请升级至2.3.35;2.5.*的用户请升级至2.5.17。下载链接如下所示:
Struts2.3.35:
http://mirrors.hust.edu.cn/apache/struts/2.3.35/struts-2.3.35-all.zip
Struts2.5.17:
http://mirrors.hust.edu.cn/apache/struts/2.5.17/struts-2.5.17-all.zip
03
临时解决方案
排查所有Struts 2的配置文件,如struts.xml,为没有定义namespace命名空间的package节点添加命名空间配置。
04
绿盟科技防护建议
绿盟科技检测类产品与服务
1、 公网资产可使用绿盟云 紧急漏洞在线检测,检测地址如下:
手机端访问地址:
https://cloud.nsfocus.com/megi/holes/hole_struts2_2018_8_23.html
PC端访问地址:
https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026
2、内网资产可以使用绿盟科技的入侵检测系统(IDS),远程安全评估系统(RSAS V5、V6)和Web应用漏洞扫描系统(WVSS)进行检测。
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
远程安全评估系统(RSAS V5)
http://update.nsfocus.com/update/listAurora/v/5
远程安全评估系统(RSAS V6)
http://update.nsfocus.com/update/listRsasDetail/v/vulweb
Web应用漏洞扫描系统(WVSS)
http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
统一威胁探针(UTS)
http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
通过上述链接,升级至最新版本即可进行检测!
使用绿盟科技防护类产品进行防护
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
下一代防火墙系统(NF)
http://update.nsfocus.com/update/listNf
Web应用防护系统(WAF)
http://update.nsfocus.com/update/wafIndex
通过上述链接,升级至最新版本即可进行防护!
检测防护产品升级包/规则版本号
(具体配置详见“阅读原文”)
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。
由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。
如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
点击“阅读原文”查看完整内容
 | 请点击屏幕右上方“…” NSFOCUS-weixin |
↑↑↑长按二维码,下载绿盟云APP
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
绿盟科技
关注网络尖刀微信公众号随时掌握互联网精彩
- 1 总书记带领我们“办好自己的事” 7903932
- 2 再次提醒:中国公民近期避免前往日本 7809468
- 3 联合国厕所不再提供擦手纸 7712811
- 4 近15万亿新增贷款去哪了 7618652
- 5 蜜雪冰城开始卖早餐了 7520361
- 6 女子毕业24年起诉母校多收4千元学费 7425491
- 7 网警:男子AI生成车展低俗视频被拘 7329105
- 8 华为重夺中国手机市场份额第一 7236689
- 9 “红学”专家否认《红楼梦》悼明 7142203
- 10 立冬以来最大规模雨雪上线 7046294
